Senin, 18 Oktober 2010

Router Security

router security issues

router security merupakan element penting dalam beberapa security deployment. Router sebagai target tertentu untuk network attacker. Jika attacker dapat mengizinkan dan mengakses router, hal ini dapat berpotensi untuk membantu mereka.

Tugas-tugas router :
• Menyatakan jaringan dan memfilter siapa yang dapat menggunakannya.
• Menyediakan access untuk network segment dan subnetwork

Router sebagai target

Karena router memberikan gateway ke network lain, router adalah target nyata.dan merupakan subject dari berbagai macam, penyerangan. Beberapa contoh dari berbagai macam masalah keamanan :
• Mencurigai access control dapat mengekspose network konfigurasi secara detail, dengan cara memfasilitasi penyerangan kembali pada komponen network lainnya.
• Mencurigai route table dapat mengurangi dayaguna (performance), menolak network communication serviced, dan mengekspose sensitive data.
• Kesalahan konfigurasi traffic filter pada router dapat mengekspose bagian dalam dari komponen network untuk di scan dan di serang. Hal ini membuat attacker lebih muda untuk menghindar.

Attacker ddaapt menggunakan router di jalur yang berbeda, dengan demikian pada router tidak hanya terdapat satu jalur yang adiministrator jaringan gunakan untuk melawan para attacker. Jalur pada router mengizinkan jenis penyerangan yang sama. Eksploitasi penyerangan mencakup IP spoofing, session hijacking, dan MITM attack.

Pengamanan jaringan
Pengamanan router dalam lingkaran jaringan adalah langkah penting pertama dalam pengamanan jaringan.
pikirkan tentang keamanan router dalam kategori di bawah ini :
• physical security
• update router IOS
• backup konfigurasi router dan IOS router
• harden router untuk menghapus penalagunaan port dan peralatan yang tidak terpakai

Untuk penyedia physical security,router dalam sebuah locked room hanya dapat menerima personal authorizied. Ini juga akan menjadi kebebasan pada setiap elektrostatik atau gangguan magnetik, dan kontrol untuk suhu dan kelembaban. Untuk mengurangi kemungkinan DoS due dalam kesalahan power,instalah power supply (UPS) dan jaga spare komponen yang tersedia.
Alat physical digunakan untuk menyambungkan router yang menjadi tingkatan dalam fasilitas pengunci, atau milik individu terpercaya yang tdk disetujui. Sebuah alat yang salah dapat memberi peluang adanya Trojan atau beberapa jenis dari file exe yang ada.
Syarat router yaitu dengan jumlah maksimum memory possible. Dengan adanya memory dapat menolong,melindungi,dan melawan beberapa serangan DoS, yang mana mendukung luas jarak dari pengaturan keamanan.
Keutamaan pengamanan dalam sistem operasi yaitu dapat menyusun kelebihan waktu. Bagaimana pun,versi terakhir dari sistem operasi mungkin tidak lebih stabil dari versi yang tersedia. Untuk memperoleh adanya keamanan terbaik dari operasi sistem anda, gunakan keluaran terakhir yang memenuhi syarat di jaringan anda.
Selalu mempunyai salinan konfigurasi dan IOS yang dipegang kasus router fails. Menjaga salinan gambar sistem operasi dari router dan file konfigurasi router dalam TFTP server untuk tujuan backup.
Buat router seaman mungkin. Router mempunyai banyak pengaturan yang aktif. Banyak diantara pengaturan tersebut tidak digunakan dan mungkin dapat digunakan oleh hacker atau penyerang untuk informasi atau eksploitasi (pemerasan). Anda harus memperkeras konfigurasi router anda dengan menon-aktifkan pengaturan yang tidak berguna.

4.2.2 Menambah fitur pengamanan Cisco IOS di Router
Sebelum menkonfigurasi fitur pengamanan dalam sebuah router, diperlukan rencana untuk semua langkah-langkah konfigurasi pengamanan Cisco IOS.
Gambar yang terlihat disamping adalah langkah-langkah usaha perlindungan sebuah router. Langkah pertama dari keempat langkah tersebut dibahas di bagian ini. Access control list (ACLs) akan dibahas di bagian berikutnya,yang memuat tentang teknologi yang kritis dan pembatasan konfigurasi dan penyaringan jalur jaringan.

4.2.3 Manage Router Security


Dasar keamanan router terdiri dari konfigurasi password. Sebuah password yang kuat merupakan unsur utama dalam mengontrol keamanan akses ke sebuah router. Untuk itu, password sebaiknya selalu dikonfigurasi.

Penggunaan password yang baik seperti dibawah ini :
• Jangan menulis password down and leave pada tempat yang jelas seperti desktop atau monitor anda.
• Hindari kata kamus, nama, no telepon, dan tanggal. Menggunakan kata kamus membuat password mudah diserang dengan dictionary attacks ( serangan kamus).
• Combinasi huruf, nomor, dan symbol. Masukan huruf kecil, huruf besar, angka, dan karakter khusus.
• Salah mengeja sebuah password. Sebaagai contoh, Smith dapat dieja seperti Smyth dapat juga memasukan angka seperti 5mYth. Contoh lainya Security dieja 5ecur1ty.
• Buat password panjang . Sebaiknya juga mempunyai minimal delapan karakter. Anda dapat menggunakan panjang minimal dengan sebuah fitur yang tersedia pada Cisco IOS router.
• Gantilah password sesering mungkin. Anda akan memiliki sebuah policy defining kapan dan bagaimana password harus dirubah. Merubah password sering
Memberikan dua keuntungan. Penggunaan ini membatasi kesempatan seorang hacker dapat membuka sebuah password dan membatasi jendela dari pembongkaran setelah password telah disepakati.


Passphrases

Sebuah rekomendasi metode dari menulis password kompleks adalah menggunakan passphrases.Passphrase pada dasarnya adalah sebuah kalimat atau ucapan sehingga password lebih terjamin.Buat kata yang cukup panjang agar sulit untuk diterka tetapi mudah untuk diingat dan ketik dengan teliti.

Gunakan kalimat, kutipan dari sebuah buku, atau lirik lagu yang anda dapat mudah mengingatnya sebagai dasar dari password atau passphrase.



Secara default, software Cisco IOS terdapat password pada plain text ketika mereka memasukan pada sebuah router. Ini tidak menjamin karena siapapun berjalan dibelakang anda ketika mereka mereka melihat pada konfigurasi router dapat memata-matai diatas pundak dan melihat password itu.

Menggunakan perintah enable password atau perintah username username password password akan mengakibatkan password ini akan ditampilkan ketika melihat running configuration.

Contoh :

R1(config)# username Student password cisco123
R1(config)# do show run | include username
username Student password 0 cisco123
R1(config)#

0 ditampilkan pada running configuration, mengindikasikan bahwa password tidak disembunyikan.

Untuk alasan ini, semua password akan dienkripsi pada sebuah file konfigurasi. Cisco IOS menyediakan dua perlindungan password :
• Enkripsi sederhana disebut rencana tipe 7. Menggunakan Cisco-defined, enskripsi algoritma dan akann menyembunyikan password menggunakan enskripsi algoritma sederhana.
• Enskripsi kompleks disebut rencana tipe 5. menggunakan lebih banyak keamanan dari MD5 hash.

Enskripsi tipe 7 dapat menggunakan perintah enable password username, dan line password dalam vty, line console, dan aux port. Hal ini tidak memberikan banyak proteksi dan hanya dapat menyembunyikan password menggunakan enskripsi algoritma sederhana.walaupun keamanannya tidak sama dengan enskripsi tipe 5, hal ini lebih baik dibandingkan dengan tidak terenskripsi.

Untuk mengenskripsi password menggunakan enskripsi tipe 7, menggunakan service password encryption pada global konfigurasi. Perintah ini dapat mencegah password tampil pada layar.

Contohnya :

R1(config)# service password-encryption
R1(config)# do show run | include username
username Student password 7 03075218050061
R1(config)#

Cisco menyarankan enskripsi tipe 5 di gunakan dibandingkan tipe 7 jika memungkinkan. Enskripsi MD5 adalah metode enskripsi yang kuat. MD5 dapat digunakan bila memungkinkan. Konfigurasi ini menggantikan keyword password secret.

Oleh karena itu, untuk memproteksi level privileged EXEC sebanyak mungkin, selalu mengkonfigurasi perintah enable secret. Ini dapat membuat secret password khas dan tidak sama dengan password user lainnya.
Router selalu akan menggunakan secret password daripada enable password. Dengan alasan, perintah enable password tidak pernah dapat mengkonfigurasi selama memperbolehkannya keluar dari system password.

Database local username selalu akan mengkonfigurasi username pada global konfigurasi dengan perintah username secret password.
Contoh :

R1(config)# username Student secret cisco
R1(config)# do show run | include username
username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/
R1(config)#

Software cisco IOS 12.3(1) mengizinkan administrator untuk mengeset minimum character length untuk semua password router menggunakan perintah security password min-length pada global konfigurasi. Perintah ini memberikan keamanan yang lebih tinggi pada router dengan mengizinkan user untuk menentukan minimum password length, menyisihkan password biasa secara merata pada sebagian besar jaringan, seperti “lab” dan “cisco”.

Perintah ini mempengaruhi beberapa pengguna password bar, enable passwords dan secret, dan membuat line password setelah perintah dieksekusi. Perintah tersebut tidak mempengaruhi keberadaan router password.

Tidak ada komentar:

Posting Komentar